IT项目安全架构设计.docx
《IT项目安全架构设计.docx》由会员分享,可在线阅读,更多相关《IT项目安全架构设计.docx(25页珍藏版)》请在冰豆网上搜索。
IT项目安全架构设计
一.1.安全架构设计
一.1.1.安全架构设计目标
整体平台的信息安全体系,必须为金融业务工作的有效开展提供有力支撑,信息系统的安全可靠对于金融业务工作十分重要。
建设终端、应用、系统、网络、物理以及业务增强安全能力,围绕身份鉴权、访问控制、内容审计、监控审计、合规和业务连续性设计。
整个平台安全体系建设满足等级保护2.0III级标准。
安全作为金融平台的重要组成部分,是衔接金融平台应用安全与底层资源安全保障的纽带,也是金融平台各子系统之间实现软硬件资源的安全共享的保障。
同时,为了落实和贯彻公安部、国家保密局、国家密码管理局、全市高法系统等国家有关部门信息安全等级保护工作要求,全面完善金融平台信息安全防护体系,落实“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作在各相关环节的顺利实施,提高整体信息安全防护水平。
本次规划初步设计与金融业务相适应的、可靠的安全防护体系,实现金融平台硬件及网络环境、金融平台应用、金融平台数据等安全防护与管理,实现应用服务及数据调用的安全认证和安全审计,主动的异常数据操作行为的监控分析、预警机制,并提供异常问题的倒查追溯能力;访问轨迹记录跟踪与查询;金融平台及系统安全审计;安全日志记录存储及查询;金融平台安全预警机制;数据级、应用级容灾备份及恢复机制,建立金融平台的异地容灾备份能力,以确保金融平台的高可用性和数据安全性。
一.1.2.安全架构设计原则
金融平台安全设计一般考虑以下几个方面:
合理规划网络的安全区域以及不同区域之间的访问权限,保证接入用户和终端的合法授权许可,防止非法的访问以及恶性的攻击入侵和破坏;建立高可靠的网络平台,为数据在网络中传输提供高可用的传输通道,避免数据的丢失,并且提供相关的安全技术防止数据在传输过程中被篡改和窃取;提供对网络平台自身的安全保护支撑,保证网络平台能持续稳定运行。
需求、风险、代价平衡分析的原则:
对任一网络,绝对安全难以达到,也不一定是必要的。
对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。
综合性、整体性原则:
应运用系统工程的观点、方法,分析网络的安全及具体措施。
安全措施主要包括:
行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。
一个较好的安全措施往往是多种方法适当综合的应用结果。
一致性原则:
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。
实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。
易操作性原则:
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
适应性及灵活性原则:
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。
多重保护原则:
任何安全措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
技术与管理并重原则:
“三分技术,七分管理”,从技术角度出发的安全方案设计必须有与之相适应的管理制度同步制定,并管理的角度评估安全设计方案的可操作性。
对于金融行业网络安全体系的建立,我们建议采取以上的原则,先对整个网络进行整体的安全规划,然后,根据实际状况建立一个从防护——检测——响应的基础的安全防护体系,提高整个网络基础的安全性,保证应用系统的安全性。
按照以上原则,分别做好物理层安全、网络层安全、操作系统安全、内容安全、应用层安全、PKI体系、安全审计、安全集中管理的建设,并此基础上,做好信息安全管理、技术、运维、知识体系的建设。
一.1.3.网络安全总体设计
一.1.3.1.安全域划分
根据安全域划分方法,可以划分为核心计算域、内部接入域、外联域以及管理支撑域等安全区域。
有了安全区域的划分,网络就有了明确的边界,可以进行有效防护和纵深防御。
(1)核心计算域
核心计算域主要承载金融平台局的所有应用,是金融平台网络的核心。
该区域防护重点为边界防护、入侵检测、安全审计、鉴别认证。
(2)内部接入域
内部接入域主要是分中心和各外部系统与总部的接入区域。
该区域主要防护重点为终端保护、边界防护、数据防护等。
(3)外联接入域
外联区域为金融平台与非本平台机构相连的接口,包括第三方机构等。
该区域主要防护重点为边界隔离和入侵检测,通过这两种手段便于隔离外部威胁,同时也便于区分不同区域的安全责任。
(4)运维管理域
管理支撑域部署的管理整个金融平台的网络管理、安全管理、内部办公的核心区域,该区域防护采用边界隔离、安全审计、入侵检测、行为控制等手段。
以上为金融平台的主要安全区域划分,各个安全域内部还可以进一步根据业务系统重要性等级进一步细化分成不同安全子域。
这些域和其中的子域划分,都需要通过网络层实现,并通过网络层进行边界防护和权限控制。
一.1.3.2.结构安全
(1)安全要求
要求域(边界)间通过核心交换机进行子网、网段划分和IP地址规划;
要求子域间通过3层交换机进行子网、网段划分和IP地址规划;
域间和重要子域间配置防火墙进行边界划分,普通子域间可以通过虚拟方式进行划分和防护;
对重要业务的网络质量和带宽采用QoS方式进行保证。
(2)建设要点和内容
结构安全将通过增加网络交换机、防火墙,以及对网络环境的规划和设计来实现。
在计算核心域边界部署防火墙、管理支撑域边界部署防火墙、外联接入域边界部署防火墙。
各个域内部可以采用VLAN划分及三层交换设备的ACL控制来实现子域的划分。
一.1.3.2.1.边界抗DDoS设备
在主用金融平台互联网出口部署抗拒绝服务攻击系统,针对分布式拒绝服务攻击(DDoS)、P2P下载、蠕虫等异常流量进行探针式检测和异常流量清洗。
一.1.3.2.2.边界防火墙
防火墙技术是目前网络边界保护最有效也是最常见的技术。
采用防火墙技术,对重要节点和网段进行边界保护,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。
由于互联网服务器区安全边界面临的安全风险较多,需要通过严格执行安全策略发挥防火墙最佳功效:
(1)集中放置面向Internet服务的主机,在一个集中、受控的环境下监控网络流量;
(2)关闭不必要的服务;
(3)严格限制进、出网络的ICMP流量和UDP流量;
(4)允许网络管理流量进局域网系统;
(5)严格制定防火墙策略,限制所有无关访问。
由于面对的是外部复杂的网络环境,因此这些边界防火墙需要具备更多的深度过滤功能:
能够阻止常见的蠕虫扩散,能够对P2P带宽进行流量管理等。
同时能够精细的进行设备管理,减轻管理员管理负担。
一.1.3.2.3.边界防病毒一体化网关
远程专线各接入单位的外部边界上部署UTM统一威胁管理设备,可以通过制定严格的访问策略、保证接入单位访问行为的合法性以及金融平台与接入单位进行数据交互行为的合法性。
同时对个单位进行全方位的安全防护。
采用UTM设备来构成本方案的核心产品既有效节约了建设资金,又达到了更好的防护效果。
可根据实际需要开启相应的功能模块,采用UTM部署在互联网边界是一个一举两得的解决方案。
各功能模块配置说明:
(1)防火墙
首先需要配置防火墙功能。
对重要节点和网段进行边界保护,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止非法攻击;可以对网络流量进行精确的控制,可以对用户进行多种认证等。
(2)防病毒
据ICSA(国际计算机安全协会)的统计表明,超过90%的病毒是通过Internet传播的。
而利用ASIC硬件技术进行数据包内容病毒扫描,在性能上有了质的飞跃,可以提供近乎实时的病毒过滤性能。
网关病毒过滤特性还可以有效地防止病毒进入内网之后利用计算机系统漏洞肆意传播,大量消耗系统资源和网络带宽所造成的DoS/DDoS(拒绝服务/分布式拒绝服务)攻击。
(3)入侵检测/防护
网络入侵检测/防护系统(IDS/IPS)是一种实时网络入侵检测传感器,它能对外界各种可疑的网络活动进行识别及采取行动。
为通知系统管理员有攻击行为发生,IDS将此攻击及一切可疑流量记录到攻击日志中,并根据设置发送报警邮件。
UTM可以检测并阻断多种类型攻击,例如DoS/DDoS(拒绝服务/分布式拒绝服务)攻击(包括TCPSYNflood,UDPflood和ICMPflood,PingofDeath,Teardrop等)。
通过配置网络中UTM的IDS/IPS模块,可以防止各类网络攻击和入侵行为的发生。
直接对网络入侵行为进行阻断,不给黑客以任何可乘之机。
UTM可以进行手动、自动的更新攻击特征库,扩充攻击特征数量,防范最新攻击。
一.1.3.3.入侵防范
(1)安全要求
要求在网络中部署入侵防范检测设备。
(2)建设要点和内容
通过在核心计算域、管理支撑域、外联接入域边界部署入侵检测系统解决。
其中在核心计算域部署高端入侵检测系统、管理支撑域部署普通入侵检测系统、外联接入域边界部署普通入侵防御系统。
一.1.3.3.1.入侵检测系统(IPS)
入侵防护系统(IPS)就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。
IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。
它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。
IPS就是自动执行这种监视和分析过程,并且执行阻断的硬件产品。
将IPS串接在防火墙后面,在防火墙进行访问控制,保证了访问的合法性之后,IPS动态的进行入侵行为的保护,对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。
阻断来自内部的数据攻击以及垃圾数据流的泛滥。
由于IPS对访问进行深度的检测,因此,IPS产品需要通过先进的硬件架构、软件架构和处理引擎对处理能力进行充分保证。
一.1.3.3.2.入侵防御系统(IDS)
IDS作为旁路的检测设备,可以在旁路检测网络中的威胁行为,用以满足在网络在面临海量攻击事件情况下的威胁检测与呈现需求。
通过对事件的智能分析,帮助管理员找到真正具有威胁能力的事件,这大大降低了运维工作量,使威胁处理成为可能。
一.1.3.3.3.访问控制
(1)安全要求
●域和子域间通过路由策略、访问控制、安全访问路径设计等进行访问防护
●进行端口级别的协议种类和端口控制和过滤
●核心区域必须部署内容过滤产品
●建立用户级的帐户控制
(2)建设要点和内容
结构安全将主要通过对现有网络环境的规划和设计来实现,通过在边界控制设备的访问控制策略进行网络访问控制。
用户级的帐户控制通过集中身份认证系统及CA数字证书实现,确保各类网络设备管理帐户的安全。
一.1.3.3.4.集中身份认证系统
通过内部的AD或者Radius认证服务器来完成集中身份认证。
一.1.3.3.5.CA数字证书
通过部署CA数字认证证书来完实现网络访问控制
一.1.3.4.安全审计
(1)安全要求
●要求网络要有审计;
●要求能够进行网络分析和故障底层定位、排错。
(2)建设要点和内容
网络审计由信息安全审计解决方案统一解决;对网络进行底层的协议分析,对网络协议和通讯内容进行直接监控,这部分主要由部署在管理支撑域的安全审计设备及安全管理平台实现,其中管理支撑域的安全审计设备起到网络设备操作行为审计,安全管理平台实现各类设备的操作日志审计。
一.1.3.4.1.网络综合审计系统
网络安全审计系统是针对业务网络资源进行策略化审计与管理的新一代安全系统,它集内容审计、访问控制及身份认证于一体,通过对具体业务的命令级审计与认证、对越权用户与非法操作的告警与阻断,实现对主机、服务器、数据库等资源的重点保护,从而为客户业务网络系统提供强大的集中审计管理平台。
功能如下:
(1)对网络操作进行实时监控、过程回放
网络审计系统对数据库、FTP、Telnet、应用(业务)系统等登录的操作进行详细的审计,包括登录者输入的各种命令、操作结果等。
实时监控、过程回放,就像网络世界的摄像机,真实地展现用户的操作,系统管理员通过本系统看到的就是当时的实际操作界面和过程。
利用这项功能,系统管理员可以直观、方便地了解系统被使用的情况,尤其是在出现安全问题后,可以迅速地查找出责任人。
(2)进行命令级的审计和访问控制
网络审计系统可以对数据库操作、FTP、Telnet、应用(业务)系统等进行命令级的审计和访问控制。
审计系统在各主机系统原有的用户权限基础上,进一步细分了主机、服务器、数据库系统的权限设置,使得每个用户仅能够从事与自己身份相符合的操作。
即使是多个人使用同一个账号进行登录,审计系统也能区分出不同的用户,并且根据不同的身份采取不同的审计和访问控制措施。
(3)强大的审计报表
网络审计系统提供了强大的审计报表功能,系统管理员可以根据自己关心的内容设置审计报表的输出。
通过设置合理的审计报表,管理员可以迅速、直观地了解到系统的运行情况、使用情况;如果发现异常,可以利用审计系统的查询、分析、跟踪功能,定位出现问题的人员、时间、操作内容等。
一.1.3.4.2.日志审计系统
日志审计系统能通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。
面向系统的使用者,提供一个图形化的显示界面,展现安全审计系统的各功能模块,提供综合展示、资产管理、日志审计、规则管理、告警管理、报表管理、权限管理、系统管理、知识维护等功能。
一.1.3.5.边界完整性
(1)安全要求
边界完整性强调内部用户不能私自通过拨号、无线网络等连接公司外部的网络,外部用户不能私自接入到公司内网。
(2)建设要点和内容
这部分功能通可过部署准入控制及终端管理控制解决方案解决。
控制及终端管理产品需要紧密围绕“合规”,以内网终端计算机为管理对象,通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理,全面提升内网安全防护能力和合规管理水平,帮助用户构建起安全可信的合规内网。
应该包括:
●终端准入控制
●终端安全控制
●桌面合规管理
●终端泄密控制
●终端审计
一.1.3.6.恶意代码防范
(1)安全要求
要求部署网络杀毒网关等。
(2)建设要点和内容
在外联接入区域、管理区域部署网络防毒墙实现。
通过对网络流量的还原,分析,分析网络中的数据流的行为,检测出隐藏的威胁。
一.1.3.7.网络设备防护
(1)安全要求
主要指网络设备的口令强度、登陆权限配置等。
(2)建设要点和内容
该部分的建设包含在“权限控制”章节中。
一.1.3.8.权限控制
一.1.3.8.1.安全要求
安全标准对访问权限的控制提出了很高的要求,尤其是核心计算域内。
等保及PCI-DSS在权限控制方面主要提出了以下要求:
(1)管理上要求制定详细的权限控制文档,规范权限配置;
(2)管理上要求制定明确的授权体系和授权方法;
(3)技术上要求细致到帐户、用户级别的权限分配、控制和检查;
(4)技术和管理上同时要求权限使用行为可以追溯、审计。
可以看出,权限控制需要一个管理和技术相结合的解决方案。
根据安全建设实践的经验,权限控制是一个长期动态的过程性任务,一般通过自身管理制度整改+专家咨询服务+成品解决方案的联合部署才能完成。
一.1.3.8.2.建设要点及内容
(1)采用特权帐号管理系统着重解决登录密码的管理问题。
实现:
●主机、网络设备的系统权限帐号集中管理,对密码的复杂度进行设定,确保密码强度;
●定期自动修改系统权限帐号的密码。
(2)采用堡垒机解决方案着重解决登录的行为控制、审计问题。
实现:
●集中管理(堡垒机模式):
解决操作分散,无序的问题
●身份管理:
解决操作者身份唯一的问题
●访问控制:
解决操作者合法访问操作资源的问题
●权限控制:
解决操作者操作权限的问题
●操作审计:
解决操作事故责任认定的问题
一.1.3.9.业务堡垒机系统
业务堡垒机是针对企业内网的运维操作和业务访问行为进行细粒度控制和审计的合规性管理系统。
它通过对运维人员和业务用户的身份进行认证,对各类运维操作和业务访问行为进行分析、记录、汇报,以帮助用户事前认证授权、事中实时监控、事后精确溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运行。
一.1.4.数据安全总体设计
一.1.4.1.需求分析
数据安全是降低敏感数据向内、外部泄露风险的最有效层面之一。
在该层面,防护的焦点在于数据本身,不论其传播途径如何,其目的在于确保数据安然无恙。
数据的移动性正日益加强,因此数据安全防护至关重要。
在市金融平台总体规划设计中,对于数据安全方面我们提出以下要求或原则,以保证数据的安全、可靠:
(1)根据数据安全程度要求不同,数据不同程度的加密原则
数据加密特性为数据提供了一个额外的保护层。
可以保护至关重要的数据,甚至是介质被盗了,数据仍然是安全的。
(2)为了实现数据安全、可靠的目的,数据需要细分或者分类
市金融平台总体设计和规划中,对数据要提供最细的数据分类支持。
数据分类利用多级安全性概念解决了市金融平台在实际中遇到的数据安全和隐私问题。
利用数据敏感度标签(例如“敏感”和“机密”)与用户标签授权,提供完善的行级安全性控制。
使用政策概念来存储标签定义和授权。
该政策可直接在数据库中进行管理,或在身份管理中进行集中管理。
提供完善的API,可用于在数据库或身份管理中管理政策。
(3)对数据限制性访问的要求
在不影响应用程序功能的前提下快速而高效地保护现有程序:
●限制DBA和其他授权用户访问应用程序数据;
●防止应用程序DBA操纵数据库和访问其他应用程;
●更好的控制何人、何时、何地可以访问应用程序。
可用于严格地控制应用程序的安全性,限制何人、何时、何地、如何访问应用程序。
可以在不更改现有应用程序下灵活机变地使用这些特性来实施授权。
如日期时间、数据库客户端在网络上的位置之类的因素,或特定于企业的客户因素可用于控制访问应用程序的能力。
(4)数据审计要求
数据库针对数据的各种操作提供标准的审计功能。
既可以对用户进行的数据库管理操作(登录、管理等)进行审计,也可以对用户的各种DDL操作DML操作进行完整的审计。
同时,如果某些敏感数据需要进行更细粒度的审计工作,数据库提供了细粒度审计细粒度审计(FGA),可以理解为“基于政策的审计”。
与标准的审计功能相反,FGA可用于指定生成审计记录必需的条件:
●收集并整合审计数据。
审计数据可以来自一个或多个数据库,可集中各个设计数据。
●简化合规性报告。
内建的报告;定制的报告。
●检测及预防内部威胁。
提早检测及警报嫌疑活动;监控及检测数据变化。
可伸缩性和安全性。
采用审计策略导致更低的IT成本。
集中管理和供应使审计过程中操作和执行的复杂度降低,并减少整个系统中软硬件的投入。
集中的审计使各个数据源头的操作有了一个方便的对比审查的功能,最终消除了审计孤岛现象。
数据库审计可用来进行早期的检测和报警功能,可以定义警报来检测以下情形:
●非应用程序用户尝试查看敏感列
●敏感系统中的新用户
●敏感系统中的角色授权
●所有系统中的DBA授权
●应用程序用户登录失败
通过审计设置,数据库审计评估接受到的审计数据后发出警报。
并且能够向电子邮件或PDA发送警报。
最后,针对可疑操作生成警告报表。
针对以上数据安全要求,市金融平台总体规划设计中,对于数据安全框架设计如下:
图62数据安全框架图
一.1.4.2.技术方案
一.1.4.2.1.传输信息加密
传输信息加密将传输的数据变为看上去无用的乱码,数据到达传输的目的地再进行解密。
在此期间攻击者无法读懂信息的内容从而保护数据信息。
传输数据信息加密是保障信息安全的最基本、最核心的技术措施和理论基础,也是现代密码学的主要组成部分。
一.1.4.2.2.数据完整性
数据完整性保护用于防止非法篡改,利用密码理论的完整性保护能够很好地对付非法篡改。
完整性的另一用途是提供不可抵赖服务,当信息源的完整性可以被验证却无法模仿时,收到信息的一方可以认定信息的发送者。
一.1.4.2.3.数据分类
市金融平台总体设计和规划中,对数据要提供最细的数据分类支持。
数据分类利用多级安全性概念解决了市金融平台在实际中遇到的数据安全和隐私问题。
利用数据敏感度标签(例如“敏感”和“机密”)与用户标签授权,提供完善的行级安全性控制。
使用政策概念来存储标签定义和授权。
该政策可直接在数据库中进行管理,或在身份管理中进行集中管理。
提供完善的API,可用于在数据库或身份管理中管理政策。
一.1.4.2.4.数据权限
在不影响应用程序功能的前提下快速而高效地保护现有程序:
(1)限制DBA和其他授权用户访问应用程序数据;
(2)防止应用程序DBA操纵数据库和访问其他应用程;
(3)更好的控制何人、何时、何地可以访问应用程序。
可用于严格地控制应用程序的安全性,限制何人、何时、何地、如何访问应用程序。
可以在不更改现有应用程序下灵活机变地使用这些特性来实施授权。
如日期时间、数据库客户端在网络上的位置之类的因素,或特定于企业的客户因素可用于控制访问应用程序的能力。
一.1.4.3.核心域数据安全
一.1.4.3.1.安全要求
在安全规范中,对不同级别的域有不同的数据安全要求。
而在实际实施中,同样为了简化设计和降低运维难度,将采取就高原则,对不同的域部署相同的数据安全策略,再对一些重点子域进行加强处理。
数据安全在类别上必须包括数据库、文件等数据类别,而在技术实现上将涉及到5个方面:
(1)数据载体比如数据库、文件共享目录、主机、终端等没有安全漏洞,具有有效的安全访问权限控制,没有偷窃数据的恶意代码等;这方面已经在安全域划分、安全漏洞和权限控制等其他章节进行表达;
(2)数据完整性保障和恢复,和存储方式、数据校验和数据备份有关,其中要求对备份下来的数据进行加密处理;
(3)数据传输安全,要求在数据传输过程中对敏感数据加密,实践中可通过现有网络进行VLAN,VPN配置以及使用协议加密方式来实现;
(4)防止数据泄露,需要对机密数据进行标识,即对数据进行分类,可在使用过程中进行机密数据的鉴别,根据企业的安全策略针对数据泄露情况进行审计和报警;
(5)为保证数据安全需要牵涉很多解决方案,大部分会在其他的安全领域解决方案中被覆盖,比如网络层安全覆盖传输加密、备份系统覆盖数据恢复,邮件审计覆盖邮件安全等。
数据防止泄露是专门针对数据安全领域的解决方案,该领域的解决方案有多种实现方法,其中以数据内容检查为引擎的防泄露解决方案同时覆盖机密数据标识和数据防泄露功能。
升级会员 